随着网络攻击的扩展性和多样性增强，部分网络安全意识薄弱的企业便非常容易受到勒索软件、网络钓鱼、内部威胁以及由此产生的财务风险。

Proofpoint发布了2023年的网络钓鱼分析报告。报告中强调了当今网络威胁的演变方式。同时揭示了企业员工安全知识和行为中的关键因素。

报告中通过对全球1050名网络安全从业者的调研，以及1.35亿次网络钓鱼攻击的调查后产生的数据分析。下面让我们看一下报告内有哪些内容

01全球调查数据

从上述图表中我们能发现很多瞩目惊心的数据情况

●84% 的受访者表示，他们的企业在 2022 年至少遭受了一次成功的网络钓鱼攻击。然而，只有35%的企业进行了网络模拟钓鱼。这比 2021年的 41% 有所下降。

●成功的网络钓鱼攻击造成的直接经济损失飙升了76%。

●64% 受勒索软件感染的企业支付了赎金。

●65%的受访者表示，他们的企业因为内部人员而丢失了数据。

同时针对于企业在职人员的调查中，所得到的数据也对足以证明员工网络安全意识的薄弱。

●超过三分之一的受访者无法定义“恶意软件”、“网络钓鱼”或“勒索软件”。员工仍然不清楚最基本的安全概念。

●44%的员工认为电子邮件在包含熟悉的内容时是安全的。

●在过去两年内换工作的员工中，近一半承认在离职时随身携带数据。这是一个重大的内部风险。

●信息安全专业人员和其他工作人员之间存在脱节。例如，83%的信息安全专业人员表示，网络安全是员工的首要任务。但还有33%的员工认为网络安全和自己的工作无关。

02 安全意识习惯

在跟踪网络安全意识习惯的过程中发现，超过四分之三的人使用他们的工作设备进行个人活动，这与使用个人设备进行工作的比例几乎相同。

同时近一半的受访者表示他们允许朋友和家人使用他们的工作设备。发送电子邮件和浏览网站是最常见的使用方式。

在设置密码方面28%的用户在多个与工作有关的帐户中使用重复密码，这意味着如果有一个帐户被入侵，也会危及到其他账户。

34%的员工在2022年针对网络钓鱼产生了很多危险且不利于企业的行为；然而只有63%的在职人员认为电子邮件中链接不会存在任何危险，可以随意点击。

03 认识网络安全风险

勒索软件

BEC（勒索软件）是收益最大的网络攻击形式，可以造成大规模的运营、声誉和经济损失。大约76%的企业 经历了一次勒索软件，64%的企业成功的感染一次。超过三分之二的受访者说，他们的企业经历了多个单独的感染事件

如果企业遭受了勒索软件攻击，支付赎金并不是好的解决方案，因为黑客可能还会进行二次勒索。

内部威胁

报告中调查了在职人员在过去两年中是否换过工作。四分之一的人表示有过，但近一半的人承认他们离职时带走了数据。

同时在对安全专业人员的调查中增加了有关内部数据丢失的问题。近65%的受访者表示，他们的组织曾因内部人员而发生数据丢失。

04 结语

通过报告中的各项数据我们会发现企业在建立一套完整的安全意识宣教计划是一项很大的挑战。但67%的安全专家表示，自从实施安全意识计划以来网络钓鱼失败率已经下降。通过总结分析提出了下列三种方法，可以帮助企业更好的实施安全意识计划。

通过提出正确的问题来降低复杂性

●企业中有谁被攻击了?

●目前的防守差距在哪里?

●降低风险的首要任务是什么?

将企业内的安全意识教育人、岗配对

●确定哪些员工最有可能成为目标？

●实施安全意识教育，包括网络钓鱼模拟和培训，以应对当前流行的威胁

●根据大多数受到攻击的情况，为员工量身定制培训和评估。

建立超越培训的安全文化

●培训至关重要

●安全文化将激励员工更加重视安全，并帮助他们建立可持续的安全习惯，扩展到他们的个人生活中

●衡量重要的行为指标，并采取适当和公平的补救措施